上海一銀行HR郵箱泄密 工資卡被盜刷5萬餘元

2012-05-30 09:32     來源:新民晚報     編輯:范樂

  供職于一家商業銀行人力資源部的余先生不會想到,由於公司工作郵箱故障,自己為應急用個人外網郵箱發送的一封郵件竟成了犯罪分子眼中的“大魚”。2011年4月,僅有初中文化的河北青年李金(化名)通過猜密碼的方式獲取了余某郵箱內發送的員工工資卡資訊資料數百條,並通過網上銀行系統盜刷其中7名員工信用卡共計人民幣55634元。

  日前,李金被靜安區人民檢察院依法提起公訴。

  用戶名密碼相同埋隱患

  余先生是一家商業銀行上海分行人力資源部的員工,出於安全保密需要,公司規定涉及工作內容的郵件均需通過專門的工作郵箱發送。然而,有一次由於公司工作郵箱出現故障,余先生為應急,便利用外網上的個人郵箱發送了一封電子郵件。這封郵件中包含了單位員工的工資卡卡號、身份證號碼等文件。更要命的是,余的個人郵箱用戶名所用數字與郵箱密碼一致。但余當時並未預料到這一疏忽可能造成的嚴重後果。

  據犯罪嫌疑人李金供述,2011年4月,他在該商業銀行網上商城的論壇內看到一個包含較長數字845555的用戶名。抱著試試看的態度,李金用該用戶名的後六位數作為登錄密碼成功進入該賬戶,併發現一個yahoo的郵箱和另一個hotmail的郵箱。這兩個郵箱同樣屬於余,且兩個郵箱密碼都是845555。

  洩露百餘條資訊被盜刷

  李金成功進入余某的hotmail郵箱後,意外地在一個excel文件裏獲得了二三百條某商業銀行相關人員的銀行卡卡號、持卡人名字、身份資訊。當看到這些極其隱私的資訊後,李如獲至寶,在他眼裏,這些資訊的背後可能隱藏著巨大的財富。

  李出生於1987年,老家在河北省保定市,只有初中文化,無固定職業。喜歡上網的李在獲得持卡人名字、銀行卡號、身份證號等資訊後,立即登錄該商業銀行的網上銀行,先把猜出的持卡人生日密碼輸入,再利用人工和按鍵精靈軟體對該銀行三位數CVN2碼進行隨機測試,取得相關銀行卡對應的三位CVN2碼並記錄下來。隨後他就冒用持卡人名義使用這些卡在網上第三方交易平臺進行無卡充值、消費。

  經查,從2011年4月30日至5月13日,李金利用上述手法成功將7張某商業銀行卡內總計55634元轉入自己在快錢等第三方支付平臺控制的賬戶。為防止刷卡時被害人收到短信提醒,李還通過撥打該行聲訊臺或登錄個人網銀更改了持卡人在銀行預設的消費短信提示手機號碼。這樣冒用後持卡人不會收到消費提醒,使得被害人無法及時獲知銀行卡被冒用情況。

  2011年9月6日,李金主動投案,並退賠全部犯罪所得。近日,李金被靜安區人民檢察院提起公訴。(通訊員 房曉穎 本報記者 郭劍烽)

  檢察院向銀行發《檢察建議》

  據此,靜安檢察院向該行上海分行發出《檢察建議》指出,銀行主要存在下列問題:一是內部保密管理存在較大疏漏,人力資源部員工李某違反內部規定,利用外網上的個人郵箱發送包括單位員工的工資卡卡號、身份證號碼等內部文件。二是網上銀行系統存在嚴重漏洞,該行網上銀行交易系統只需輸入卡號、密碼、證件號碼、CVN2、驗證碼即可登錄。CVN2碼是卡背面的3位數字,從000到999隨機試驗即可獲得,未設置若干次輸錯當天無法交易或者鎖卡等安全措施。三是被害人缺乏安全意識,多個密碼等都是簡單以生日作為密碼。犯罪嫌疑人更改持卡人在銀行預設的消費短信提示手機號碼時銀行未予核對,導致冒用後持卡人不會收到消費提醒,擴大了經濟損失。

延伸閱讀

訂閱新聞】 

更多專家專欄

更多金融動態

更多金融詞典

    更多投資理財